tag:blogger.com,1999:blog-4065770693499115314.post1774814119171657791..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Почему региональные ФСТЭК ничего не знают о 58-м ПриказеАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger48125tag:blogger.com,1999:blog-4065770693499115314.post-56797239887079840982012-03-11T18:19:43.199+04:002012-03-11T18:19:43.199+04:00Да, 1-й приказ есть. В вашем случае я бы напирал н...Да, 1-й приказ есть. В вашем случае я бы напирал на ФЗ-294 и полномочия Ростехнадзора в области безопасности. Думаю, что они отстанут, когда поймут, что вы знаете законодательствоАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-1547614749426780902012-03-11T16:41:45.094+04:002012-03-11T16:41:45.094+04:00Благодарю за ответ, но никакой документации в моём...Благодарю за ответ, но никакой документации в моём распоряжении к сожалению нет. <br />Пока нашёл только Приказ Министерства информационных технологий и связи РФ от 9 января 2008 г. N 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации".Ilya Sergeevichhttps://www.blogger.com/profile/11790785789511345057noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-38251690577889609432012-03-11T13:03:43.635+04:002012-03-11T13:03:43.635+04:00Согласно ФЗ-294 орган контроля/надзора должен пров...Согласно ФЗ-294 орган контроля/надзора должен проверять только в рамках своей компетенции и только те требования, которые опубликованы и доступны для проверяющих. В вашем случае Ростехнадзор малость превышает свои полномочия, особенно, если он не в состоянии объяснить, что он от вас хочет.<br /><br />А вообще оператор связи должен иметь нормативную базу по защите информации ;-) Как передаваемой по своим каналам связи, так и циркулирующей внутри оператора.<br /><br />ЗЫ. Как вариант, Ростехнадзор может требовать документы по безопасности и устойчивости узлов связи, но это не имеет отношения к ИБ.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-90814385869706014792012-03-11T13:00:03.558+04:002012-03-11T13:00:03.558+04:00Подскажите пожалуйста.
Мы организация связи (пров...Подскажите пожалуйста. <br />Мы организация связи (провайдер и оператор телефонии - местной, мг, мн).<br />Нас проверяет РосТехНадзор и требует предоставить какой-то внутренний (!) документ об информационной безопасности сети (узлов) связи и защите информации (передаваемых по нашей сети данных).<br />Что за документ - они сами толком не могут объяснить. <br />Я нашёл только ГОСТ Р 52448-2005<br /> Защита информации. Обеспечение безопасности сетей электросвязи.<br />Насколько он применим? Какой документ я должен сделать на его основе?Ilya Sergeevichhttps://www.blogger.com/profile/11790785789511345057noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34740862844893656252010-03-20T00:42:11.014+03:002010-03-20T00:42:11.014+03:00http://dom.bankir.ru/showthread.php?t=98748http://dom.bankir.ru/showthread.php?t=98748Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67143786423720388272010-03-19T12:09:04.638+03:002010-03-19T12:09:04.638+03:00Всех приветствую!
Помогите уяснить, когда считаетс...Всех приветствую!<br />Помогите уяснить, когда считается, что обработка персональных данных (ПД) осуществляется с использованием средств автоматизации, а когда без?<br />Мое понимание: имеется база данных (например, от 1С). Раз есть БД, вероятнее всего работа с данными этой базы ведется автоматизированным способом.<br />Что меня смущает? В п.1 главы 1 Постановления правительства РФ от 15.09.08 № 687, сказано: "1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.<br />". Т.е. что получается, начальник кадровой службы отправляет в отпуск сотрудника, знакомит под роспись с приказом на отпуск, предварительно оформив его в программе - и сие действо следует рассматривать как обработку ПД без использования средств автоматизации потому, что оно осуществляется при непосредственном участии человека(кадровика)? Или я совсем неправильно трактовал этот пункт?Олегhttps://www.blogger.com/profile/16946598750991919317noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-27404013454009910962010-03-19T10:33:05.023+03:002010-03-19T10:33:05.023+03:00И добавлю, что ссылка не только неявная, но и не о...И добавлю, что ссылка не только неявная, но и не обязательная на 100% ;-) "На основе" охначает, что я могу только взять ключевую идею... И я ее беру. И много еще чего. Кроме финальной таблицы определения актуальных угроз. Ее я беру из ISO 13335 или СТО Банка России.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-74266749946226282762010-03-19T08:10:30.951+03:002010-03-19T08:10:30.951+03:00Прошу прощения, да, ссылается не явно:
"Модел...Прошу прощения, да, ссылается не явно:<br />"Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781."Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59326904663082174722010-03-18T20:40:56.709+03:002010-03-18T20:40:56.709+03:00А где на них 58-й ссылается?А где на них 58-й ссылается?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10678514511736488112010-03-18T16:28:09.910+03:002010-03-18T16:28:09.910+03:00Два оставшихся от четверокнижия документа не являю...Два оставшихся от четверокнижия документа не являются нормативными правовыми актами и на них действительно не распространяется 1009 Постановление и, следовательно, они (именно эти конкретные доки) не должны регистрироваться в минюсте. Однако, обязательность их применения следует из 58 приказа, который ссылается на них как на рукдоки.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64941084603277427252010-03-15T20:28:25.821+03:002010-03-15T20:28:25.821+03:00Максим, они не изменяют правового статуса организа...Максим, они не изменяют правового статуса организаций, а посему вопрос их регистрации в МинЮсте остается открытым.<br /><br />Один из них (рекомендации) является РЕКОМЕНДАЦИЯМИ, а посему не является обязательным. Статус второго (требования) под вопросом.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34858725313842707752010-03-15T19:16:47.792+03:002010-03-15T19:16:47.792+03:00> Не согласен ;-) У тебя написано "проходя...> Не согласен ;-) У тебя написано "проходят в установленном порядке"<br /><br />Действительно. Спишем на плохое самочувствие :)malotavrhttps://www.blogger.com/profile/02506611549950622541noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28596812528803313852010-03-15T18:56:09.704+03:002010-03-15T18:56:09.704+03:00Алексей, ответьте пожалуйста!
Документы ФСБ, регла...Алексей, ответьте пожалуйста!<br />Документы ФСБ, регламентирующие защиту персданных, зарегестрированы в Минюсте? Т.е. имеют ли эти два документа ("Типовые требования.." и "Методические рекомендации..") юридическую силу?<br /><br />Как я понял, чтобы любой нормативный документ ФСТЭК или ФСБ имел юридическую силу (т.е. был легитимным), он (документ или приказ, утверждающий этот документ) должен быть зарегистрирован в Минюсте!Maksim Kuhttps://www.blogger.com/profile/00658716590660911820noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-87243754965236803752010-03-15T18:52:13.871+03:002010-03-15T18:52:13.871+03:00Этот комментарий был удален автором.Maksim Kuhttps://www.blogger.com/profile/00658716590660911820noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-48969122858376400252010-03-15T12:07:25.486+03:002010-03-15T12:07:25.486+03:00А-а-а, так этот документ создавался 2 года назад. ...А-а-а, так этот документ создавался 2 года назад. Я его как раз сейчас обновляю в соответствие с 58-м приказом.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-14515763814678986012010-03-15T12:05:04.903+03:002010-03-15T12:05:04.903+03:00вот здесь: http://www.cisco.com/web/RU/broch.html
...вот здесь: http://www.cisco.com/web/RU/broch.html<br />ссылка на http://www.cisco.com/web/RU/downloads/Cisco_for_personal_data.pdftsvhttps://www.blogger.com/profile/03178942666164812865noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10120537835705757572010-03-15T11:56:53.328+03:002010-03-15T11:56:53.328+03:00А на каком сайте-то?А на каком сайте-то?Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-80459393796342286382010-03-15T11:55:30.519+03:002010-03-15T11:55:30.519+03:00на сайте сейчас лежит. судя по косвенным признакам...на сайте сейчас лежит. судя по косвенным признакам недавно изменяли - месяц назад там ФСТЭКовские документы считали ДСПшнымиtsvhttps://www.blogger.com/profile/03178942666164812865noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28167067835423314472010-03-15T11:40:59.651+03:002010-03-15T11:40:59.651+03:00Если брошюра напечатана была еще тогда, то что в э...Если брошюра напечатана была еще тогда, то что в этом удивительного? А вот если недавно, то конфуз...Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-681029052492696452010-03-15T11:37:07.328+03:002010-03-15T11:37:07.328+03:00"информация - штука хитрая. Вечно до кого-то ..."информация - штука хитрая. Вечно до кого-то не доходит"<br /><br />вот в брошюре одного известного вендора, например, до сих пор колонтитулы 2007г., упоминаются те самые 4 документа ФСТЭК, и ничего - нормально себя чувствуют.tsvhttps://www.blogger.com/profile/03178942666164812865noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-36377101267959296812010-03-15T07:29:15.188+03:002010-03-15T07:29:15.188+03:00Andy, первый класс это в любом случае вешалка, это...Andy, первый класс это в любом случае вешалка, это я могу гарантировать независимо от направления регуляторских инициатив - какую ночную рубашку ни надевай, все равно результат брачной ночи очевиден. Так что обезличивание и ужатие рамок ИСПДн насколько возможно - единственный выход.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-37941412292507340642010-03-15T06:32:40.964+03:002010-03-15T06:32:40.964+03:00Коллеги, все замечательно!
Законотворческий процес...Коллеги, все замечательно!<br />Законотворческий процесс идет полным ходом, только времени опять остается совсем ничего.<br />Вариантов вижу не так много:<br />Первый: <br />Выжидать. Риск - попасть в "передовую" юридическую практику лишения лицензии на основной вид деятельности после 1 января 2011 г.<br />Второй: вбухивать бабло сертифицированное железо и ПО,в лицензиата-консультанта на создание ИСПДн, с требованиями, которые могут снова отказаться не актуальными.<br />Как быть то?<br />Сам являюсь межрегиональным оператором ШПД, по признакам категорий ПДн и количеству легко попадаем в специальную систему, очень похожую на 1-й класс типовой.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-17424559586724647142010-03-15T06:12:16.351+03:002010-03-15T06:12:16.351+03:00Да, согласен. То есть прямо сейчас, строго говоря,...Да, согласен. То есть прямо сейчас, строго говоря, можно зарегистрировать систему добровольной сертификации и это будет считаться "подтверждением соответствия" по букве закона. Но скорее всего, последующие документы эту лазейку закроют. Ставки принимать не буду, но, предполагаю вероятности примерно такими:<br /><br />15% - решающее значение будут иметь странненькие сертификаты "для использования в ИСПДн", которые начали раздавать в прошлом году<br />60% - будет выпущен пересмотренный регламент на предмет того, какие сертификаты будут годиться<br />25% - более либеральные варианты, при которых можно будет так или иначе декларировать соответствие самому, сертифицировать в независимых и неэксклюзивных системах и даже создавать такие системы.arkanoidhttps://www.blogger.com/profile/16788299034814627694noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-71354797806459150262010-03-14T15:06:24.646+03:002010-03-14T15:06:24.646+03:00Не согласен ;-) У тебя написано "проходят в у...Не согласен ;-) У тебя написано "проходят в установленном порядке". Далее смотрим, что такое установленный порядок оценки соответствия. Его определяет ФЗ о техрегулировании. А там три варианта, из которых для нас подходит только два, т.к. оценка соответствия в виде обязательной сертификации применяется только для гостайны.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-82697276410163981062010-03-14T14:49:00.390+03:002010-03-14T14:49:00.390+03:00arkanoid,
если в нормативном акте написано "...arkanoid,<br /><br />если в нормативном акте написано "СЗИ пв установленном порядке проходят оценку соответствия", то эта оценка соответсятвия ни разу не добравольная. Это ОБЯЗАТЕЛЬНАЯ оценка соответствия, для которой пока нет нрмативной базы (того самого "установленного порядка").<br /><br />Что касается добровольной сертификации, то от привычной нам сертификации там только само слово. Она может проводиться в люой форме и на любых условиях. Например, вы можете заказать у меня сертификацию вас как идеального человека, мы с вами определим в условиях договора, что "человек идеален тогда и только тогда, когда он - arkanoid", и я вам выдам сертификат на соответствие условиям договора (статья 21, абзац 1). :) Ничего не напоминает?malotavrhttps://www.blogger.com/profile/02506611549950622541noreply@blogger.com